"Výzkumníci nemohou vždy žádat o povolení majitele systému, který testují. Nezávislý bezpečnostní výzkum má pro akademickou sféru i vládní organizace, a dokonce i pro veřejnost, nesmírnou cenu," shodují se odborníci na počítačovou bezpečnost. Soudu zaslali dopis, kterým chtějí poukázat na absurditu vyneseného rozsudku. Podle nich by šlo o kriminalizaci zcela běžných metod a nástrojů.
Zdůrazňují například, že není nic zvláštního nebo nelegálního na "úpravě URL", tedy změně adresy v příslušném políčku v prohlížeči. "Je to běžná praxe i pro středně pokročilé uživatele, umožňuje jim to třeba rychleji procházet alba obrázků nebo stránkované komentáře," připomínají experti.
Nelíbí se jim také, že by se mezi podezřelé akce mělo počítat něco tak nevinného, jako je "podvržení" typu prohlížeče ("user-agent"). "To není nic než dobrovolný parametr, který říká serveru, jakou stránku poslat, aby se zobrazila nejlépe. A v některých prohlížečích můžete tento parametr změnit přímo v menu."
V dobrozdání (amici curiae, doslovně z latiny přeloženo jako "přátelé soudu") se za Andrewa Auernheimera zaručily bezpečnostní kapacity, mj. i Mozilla Foundation, Bruce Schneier nebo Dan Kaminsky.
Dokument ukazuje, jak snadné je změnit "agenta", tedy jak se prohlížeč směrem k serveru tváří. Něco takového rozhodně nemá být považováno za napadení cizího systému, soudí odborníci.
Hlavní připomínkou expertů je ale fakt, že motivace výzkumníka (jak hackera v tomto kontextu nazývají) by neměla hrát roli při posuzování jeho činů. "Nezáleží vůbec na tom, jaký slovník Auernheimer pro popis svých akcí použil," stojí v dopise. Jenže právě Auernheimerovo vystupování na veřejnosti a jeho evidentní snaha o provokaci mu zřejmě u soudu významně přitížila.
Odhalení statisíce e-mailů díky hloupé chybě AT&T
Celý případ kolem hackera Andrewa Auernheimera, vystupujícího pod přezdívkou weev, začal odhalením celkem primitivní zranitelnosti na stránkách amerického operátora AT&T. Tablety iPad, které tento operátor provozoval, měly své vlastní, "soukromé" domovské stránky, a Auernheimerovi se podařilo jednoduchou úpravou URL získat adresy řady majitelů iPadů. Spíchnout skript, který to dělá automatizovaně, nebyl pro něj a jeho přátele z Goatse Security problém. Celkově v roce 2011 odhalil data více než sto tisíců uživatelů, údajně pro "maximální pobavení".
Goatse Security je už od začátku úmyslně tak trochu nekorektní, o čemž svědčí i jejich název a logo odkazující na jeden těch z nechutnějších internetových vtípků (hledejte jen na vlastní nebezpečí, varovali jsme vás).
Jenže operátorovi na tom nic vtipného nepřišlo. Svérázného, tehdy pětadvacetiletého hackera začala vyšetřovat FBI, a rozhodně ne v rukavičkách. Jeho dům byl prohledán a hacker byl zadržen na základě údajných stop po narkotikách. Obvinění z drog se neprokázalo, místo toho byl Auernheimer souzen za podvod a neoprávněný přístup k počítačovému systému.
V březnu 2013 byl shledán vinným a odsouzen ke 41 měsícům vězení. Jeho radikální výroky typu "Doufám, že mi dají maximální trest, aby si všichni uvědomili, co se děje, a vyrazili do ulic" podle obžaloby přispěly k výši trestu.
Galerie |
Odborníci ale chtějí, aby se případ otevřel, domnívají se, že soud zcela nepochopil podstatu problému a z odsouzení hackera by se mohl stát nebezpečný precedent. "Obžalovaný neobcházel žádná hesla, neprováděl šifrování ani rozšifrování cizích dat ani neohrozil provoz stránek," připomínají. Jinými slovy, to, že mohla skupina Goatse Security, kterou hacker weev zřejmě vedl, získat přístup k tolika e-mailům, je ostudná chyba společnosti AT&T, nikoli federální zločin.
Hacker, bojovník za svobodu, hajzlík
Auernheimerovi ovšem přitížilo, že bezpečnostní díru v AT&T stránkách nejdříve sdělil médiím (konkrétně serveru Gawker), ačkoli tvrdil, že provozovatele na chybu předtím upozornil. (Více o etiketě týkající se upozorňování na chyby v cizím systému najdete v našem předchozím článku.)
"Jestli vám to ještě nedošlo, jsem dobrý ve všem, na co sáhnu," píše o sobě na seznamce Andrew Auernheimer, mladý Američan z New Yorku. Univerzitní vzdělání ukončil, místo toho se živí jako počítačový odborník a podle vlastních vychloubačných slov si jeho organizace "the organization" vydělá asi deset milionů dolarů ročně.
Computer Fraud and Abuse Act (CFAA) z roku 1986 se podle expertů na činy "šedého hackera" Auernheimera nevztahují. "Taková aplikace CFAA by velmi poškodila soukromí a bezpečnost a dala soukromým firmám obrovskou moc uplatňovat své zájmy na úkor veřejného zájmu."
Jindy řekl, že rád lidem vyhrožuje, že chce svrhnout nespravedlivý společenský řád, nebo vyzývá k tomu, aby hackeři nezveřejňovali své poznatky, ale místo toho je využili k nápravě sociální nespravedlnosti. Jindy se zase přirovnal k Aaronu Swartzovi a prosazuje otevřený přístup k informacím (více o smutném případu Aarona Swartze na Technetu v našem předchozím článku).
Auernheimer rozhodně dělá vše pro to, aby byl vnímán jako lhostejný prevít. Včetně toho, že se za něj sám označuje: "Jestli vás neodradilo, že jsem ve vězení, tak je tu ještě jedna věc: jsem hajzlík. Říkám, co si myslím, nedržím se zpátky. Svět potřebuje více hajzlů."
Jenže bez ohledu na to, jak člověk vystupuje, měl by být souzen za to, co skutečně udělal, a podle zákonů, které se na tyto činy vztahují. To je také nejdůležitější připomínka odborníků, kteří se "šedého hackera" zastávají.
Velké firmy by neměly mít možnost prosazovat své zájmy na úkor zájmu veřejnosti tím, že budou z výzkumníků dělat kriminálníky. |
"Firmy mají často významný zájem na tom, aby byly jejich bezpečnostní chyby utajeny, aby se o narušení soukromí nevědělo. Ale takovéto soukromé zájmy společností jsou často v rozporu se zájmem veřejným," míní experti. "Korporace by tedy neměly mít možnost prosazovat své zájmy skrze kriminalizaci chování, které se jim nelíbí." Podobně by totiž pak firmy mohly třeba zakazovat užívání zařízení způsobem, který pro ně není ekonomicky výhodný, blokovat zařízení pro určité účely a bránit se obcházení těchto zabezpečení nekompromisní právní cestou.
Jak poznamenal Hanni Fakhoury pro Wired: "Možná vám hacker weev není sympatický. Ale jeho případ může rozhodnout o tom, jak se bude pohlížet i na vaši svobodu na internetu."
